企业空间 采购商城 存储论坛

12 监督管理

12.1 审计

灾难恢复工作的审计分为内部审计和外部审计。内部审计由单位内部人员组织实施。外部审计由具有国家相应监管部门认定资质的中介机构组织实施。

审计工作主要包括以下内容:

—— 风险评估和管控;

—— 组织协作和授权机制;

—— 灾难恢复策略;

—— 灾难恢复工作的制度建设

—— 灾难恢复预案的管理和维护;

—— 演练组织和演练评估;

—— 灾难备份中心的可用性和有效性。

单位应根据信息系统的灾难恢复工作情况,确定审计频率。单位应每年至少组织一次内部灾难恢复工作审计。

灾难恢复审计工作结论应形成审计报告,审计报告应作为风险内控措施的成果进行存档,可纳入IT系统年度审计。

审计过程所涉及的资料调阅应有交接手续,严格控制审计过程中涉密资料的保管和发放,中介机构应保守被审计公司的商业秘密和风险信息。

12.2 备案

单位灾难恢复工作情况应在每年年底前向中国人民银行报备,主要内容包括:

—— 单位的灾难备份中心建设及重大变更情况;

—— 单位的年度灾难恢复重大演练情况。